6 abr. 2015

Laziok: troyano que infecta compañías energeticas de Medio Oriente

El troyano Laziok, descubierto por Symantec en febrero de 2015 esta siendo utilizado en estos momentos en una campaña para infectar con otros malware a empresas de energía de todo el mundo, pero enfocadas en las de  Medio Oriente con casi el 80% de las infecciones detectadas hasta el momento. Los principales objetivos de la campaña fueron empresas de Petroleo, Gas y Helio.

Laziok actúa como herramienta de reconocimiento durante el ataque, permitiendo tomar decisiones sobre los próximos pasos a seguir y, si el objetivo no parece interesante, frena la infección. Por otro lado, si es interesante se procede a bajar el Backdoor Cyberat descubierto en 2013 y con una baja tasa de infección y el troyano ZBot, tambien conocido como Zeus.

¿Como se produce la infección?

La infección comienza con correos de spam provenientes del dominio Moneytrans[.]eu que posee un servidor de correo mal configurado y acepta OpenRelay y permite enviar correos sin validar que quienes lo envían sean usuarios del dominio. En estos emails se incluye un archivo adjunto, normalmente un archivo de Excel con el troyano embebido en él, que aprovecha la vulnerabilidad Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) la que permite ejecución remota de código en el componente  MSCOMCTL.OCX. La corrección por parte de Microsoft se publicó en Abril de 2012 (MS12-027).
Si el usuario abre el archivo adjunto, comienza el proceso de infección.

El troyano se esconde en la carpeta %SystemDrive%\Documents and Settings\All Users\Datos de programa del directorio\System\Oracle, haciendo nuevas carpetas y renombrándose a sí mismo con nombres de archivos conocidos.

Esta vulnerabilidad de Windows también ha sido explotada en otras campañas de ataque diferentes en el pasado, como en la denominada Octubre Rojo, que fue una campaña de nivel global dirigida a organismos diplomaticos y gubernamentales de todo el mundo.

Como decíamos, Laziok es utilizado como herramienta de reconocimiento y revisa algunos de los siguientes parámetros:
  • Nombre de equipo
  • Software instalado
  • Tamaño de RAM
  • Tamaño del disco duro
  • Detalles GPU
  • Detalles de la CPU
  • Software antivirus
Dicha información es enviada a los atacantes, si les resulta interesante, continuarán la con versiones a medidas del Backdoor.Cyberat y Trojan.Zbot que se adaptan específicamente para el perfil del equipo comprometido.

Para minimizar los riesgos de infección, como en la mayoria de los casos, es clave la participación de los usuarios, por eso es tan importante invertir en campañas de capacitación de seguridad en los usuarios de la compañía e incluir en la capacitación en seguridad de usuarios finales el buen uso de Internet y del correo electrónico.

Adicionalmente recomendamos

  • Mantener las actualizado el sistema operativo para solucionar vulnerabilidades mediante la gestión de parches de seguridad
  • Utilización de antivirus y actualización en los equipos cliente
  • No utilizar carpetas compartidas en equipos de escritorio sin protección.
  • Desactivar el Autorun de medios extraviarles como CD/USB.
  • Utilizar buenas prácticas para navegar en Internet.
  • Las mejores prácticas para el correo electrónico, que debería incluir tanto la buena configuración del servidor como la del cliente.
@adolfofioranell de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!